SIEM(Security Information and Event Manager) 기술 또는 그 솔루션은 지난 십수년 동안 보안 운영 혹은 관제, 또는 내부의 위협 상황을 탐지하고 분석 하는 데에 있어서 거의 필수로 사용되어지는 기술로 자리를 잡았습니다.
기업에서 발생하는 대규모의 데이터를 빠르게 수집하고, 이를 사용자가 해당 툴 또는 시스템들에 대한 전문적인 지식이 부족하더라도 그 내용을 쉽게 알아 볼 수 있는 형태로 정규화를 하며, 이러한 대규모 데이터로부터 사용자가 반드시 알아야 하는 위협 상황들을 정리하여 알려줌으로 발생한 혹은 잠재적으로 발생 가능성이 있는 위협 상황들을 사용자가 인지하고 적절한 대응을 할 수 있도록 하는 데에 있어서, 비록 여러가지 보완이 필요한 도전들이 있으나 현재까지는 SIEM보다 월등히 앞선 기술을 찾기는 쉽지 않습니다.
지난 10년 이상 SIEM기술을 가지고 많은 고객들을 만나 실제로 경험하고 시장에서 논의된 사항들로부터 좋은 SIEM 기술을 선택하는 기준점들을 정리해 보았습니다.
첫째로, SIEM 기술은 사용자들에게 실시간으로 데이터를 수집하고, 정규화를 수행하는 것 뿐만 아니라, 수집된 데이터로부터 사용자가 탐지 또는 분석하고자 하는 사항들을 실시간으로 상관관계를 수행하여 사용자가 쉽게 인지할 수 있는 형태로 제공할 수 있어야 합니다.
지난 10년이 넘는 기간동안 많은 툴들이 SIEM으로서 시장에 공급이 되었고, 각각 특색 있는 아키텍처들을 내놓았습니다. 그리고 그 아키텍처들마다 사용자가 선호하는 기술들을 전체 혹은 부분적으로 채택을 하였습니다.
이러한 기술들 중에는, 실제 데이터가 수집되고 수초 만에 그 결과를 알 수 있는 것들도 있지만, 어떤 기술들은 장기간의 트렌드 분석에 더 적합한 기술들도 있습니다.
따라서 이러한 기술들을 채택하기 전에, 먼저 우리가 하고자 하는 것이 무엇인지, 우리의 비즈니스 목적이 무엇인지를 먼저 고려하고, 이후에 현재 위협의 실시간 탐지라는 SIEM 본연의 목적이 더 필요한지, 아니면 데이터들의 장기간 트렌드 분석을 통해 수 개월 전에 발생했던 위협 사항으로부터 Lesson Learned를 획득하고자 하는 것인지 결정할 필요가 있습니다.
둘째로, SIEM이라는 기술은 기술 자체가 가진 내용도 중요하지만, 이러한 기술들을 적용해서 효과를 획득하고자 하는 경우, 즉 우리가 실현하고자 하는 Use Case들이 어떤 것들이고 또 이러한 Use Case들을 얼마나 풍부하게, 또 얼마나 쉽게 만들어 낼 수 있느냐 하는 것에 대한 고려가 필요합니다.
이러한 것을 고려해야 하는 이유는, SIEM이 가진 특성 중 데이터 수집과 저장이 있기 때문입니다. SIEM은 해당 기술을 통해 이루고자 하는 Use Case들이 풍부하고 명확할수록 많은 효과와 이익을 선사하지만, 이러한 것들에 대한 고민이 없을 경우 단순한 데이터 수집과 저장 툴로 전락해 버리는 경우를 시장에서 많이 보았습니다.
그렇다면 이러한 Use Case들을 확보를 해야 하는데, 아무래도 사용자들은 본인들의 경험이나 과거에 있었던 사례가 중요한 소스가 되겠습니다만 이러한 것들은 구성원들에 따라 제한이 생길 수 밖에 없습니다. 어떤 조직은 수백명의 보안 팀을 구성한 곳들도 있지만, 어떤 조직은 수명, 혹은 단 1명이 보안 툴들을 운영하고 있는 곳들도 있기 때문입니다.
따라서 이러한 Use Case들을 보다 손쉽게 확보하고, 가능하면 기술을 공급한 공급업체로부터, 또는 오픈된 커뮤니티로부터 이러한 Use Case들을 확보하여 우리가 처한 상황과 비교하고 쉽게 적용할 수 있는 형태를 제공하는 기술이 하나의 포인트가 될 수 있습니다.
세째로, 이러한 SIEM 기술은 조직에서 한번 도입을 하게 되면, 상당히 장기간 사용이 되는 기술이기 때문에, 조직에서 가장 중요한 것 중 하나인 지속 가능성을 고려해야 할 필요가 있습니다.
아무리 좋은 기술이라도, 해당 기술을 도입한 사람이 직무나 변경되거나 혹은 승진 등으로 다른 사람이 그 업무를 대신했을 때, 해당 기술을 익히고 업무를 넘겨받는 데 너무나 많은 노력이 들어가거나 너무 많은 시간이 필요하다면, 해당 기술은 대부분 사장이 되어버리게 됩니다.
따라서 이러한 기술을 도입할 때에는, 도입하는 조직이 해당 기술이 과연 오랫동안 사용될 만한 가치가 있는지, 그리고 이 기술을 도입한 이후 조직의 구성원이 변경이 되어도 현재와 같은, 혹은 더 나은 가치를 실현할 만한 것인지를 고민해 볼 필요가 있습니다.
현재 SIEM기술은 전통적인 가치를 실현할 수 있는 기술을 넘어, 이제 머신 러닝, AI, TIP(Threat Intelligence Platform) 또는 SOAR와 같은 새로운 기술들을 도입 또는 연결하여 더 나은 가치를 실현하는 방향으로 발전하고 있습니다.
이러한 기술 방향의 기본 base는 여전히 SIEM이기 때문에, 좋은 SIEM 기술의 도입은 곧 좋은 확장 가능성을 가진다는 말과 같습니다.
좋은 SIEM기술을 도입하여 수년 후 새로운 기술 확장이 여의치 않아 SIEM부터 변경을 하게 되어 그동안 투자한 리소스가 낭비되지 않도록, 기술 도입 시 위에서 이야기 한 세가지 점 등 신중하게 고려할 필요가 있습니다.
